Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Лажен Moltbot AI асистент за кодирање на VS Code Marketplace дистрибуира малициозен софтвер

Објавено: 29.01.2026

Истражувачи за сајбер-безбедност алармираа за нова малициозна екстензија за Microsoft Visual Studio Code (VS Code) за Moltbot (поранешен Clawdbot) на официјалниот Extension Marketplace, која се претставува како бесплатен AI асистент за кодирање, но тајно испорачува малициозен payload на компромитирани системи.

Екстензијата, со име „ClawdBot Agent – AI Coding Assistant“ („clawdbot.clawdbot-agent“), во меѓувреме е отстранета од страна на Microsoft. Таа била објавена од корисник со име „clawdbot“ на 27 јануари 2026 година.

Moltbot доживеа огромна популарност, надминувајќи 85.000 ѕвезди на GitHub во моментот на пишување. Овој open‑source проект, создаден од австрискиот развивач Peter Steinberger, им овозможува на корисниците локално да извршуваат персонален AI асистент базиран на голем јазичен модел (LLM) на сопствените уреди и да комуницираат со него преку веќе воспоставени платформи како WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams и WebChat.

Најважно е да се напомене дека Moltbot нема легитимна VS Code екстензија, што значи дека заканувачките актери ја искористиле растечката популарност на алатката за да ги измамат несвесните развивачи да ја инсталираат. Малициозната екстензија е дизајнирана така што автоматски се извршува секогаш кога ќе се стартува IDE‑то, при што тајно презема датотека со име „config.json“ од надворешен сервер („clawdbot.getintwopc[.]site“) за да изврши бинарна датотека наречена „Code.exe“, која инсталира легитимна програма за далечински пристап, како ConnectWise ScreenConnect.

Потоа апликацијата се поврзува со URL‑адресата „meeting.bulletmailer[.]net:8041“, со што му се овозможува на напаѓачот перзистентен далечински пристап до компромитираниот систем.

„Напаѓачите поставиле сопствен ScreenConnect relay сервер, генерирале претконфигуриран клиент‑инсталер и го дистрибуирале преку VS Code екстензијата“, изјави истражувачот од Aikido, Charlie Eriksen. „Кога жртвите ќе ја инсталираат екстензијата, добиваат целосно функционален ScreenConnect клиент кој веднаш се јавува кон инфраструктурата на напаѓачот.“

Покрај тоа, екстензијата вклучува и fallback механизам кој презема DLL наведен во „config.json“ и го sideload‑ира за да го добие истиот payload од Dropbox. DLL‑то („DWrite.dll“), напишано на Rust, обезбедува испорака на ScreenConnect клиентот дури и ако командно‑контролната (C2) инфраструктура стане недостапна.

„Подлабоката анализа на payload‑от сугерира дека напаѓачот очекувал неуспеси и дека неколку методи за испорака не функционираат секогаш сигурно“, изјави Eriksen за The Hacker News. „Сепак, изгледа дека code.exe го вчитува DWrite.dll (преку DLL side‑loading) и кога двете се во ист директориум, малициозното DLL веројатно ќе се вчита по дифолт.“

Ова не е единствениот резервен механизам вграден во екстензијата за испорака на payload. Лажната Moltbot екстензија исто така содржи хардкодирани URL‑адреси за преземање на извршната датотека и DLL‑то. Втора алтернативна метода користи batch скрипта за преземање на payload‑ите од друг домен („darkgptprivate[.]com“).

Безбедносни ризици поврзани со Moltbot

Ова откритие доаѓа откако безбедносниот истражувач и основач на Dvuln, Jamieson O’Reilly, пронајде стотици неавтентицирани Moltbot инстанци достапни онлајн, поради „класична“ погрешна конфигурација на reverse proxy, со што биле изложени конфигурациски податоци, API клучеви, OAuth креденцијали и историја на разговори од приватни четови на неовластени лица.

Проблемот произлегува од комбинација на тоа што Moltbot автоматски одобрува „локални“ конекции, а распоредувањата зад reverse proxy‑ја предизвикуваат интернет конекциите да се третираат како локални — и со тоа доверливи и автоматски одобрени без автентикација.

„Вистинскиот проблем е што Clawdbot агентите имаат автономија“, објасни O’Reilly. „Тие можат да испраќаат пораки во име на корисниците преку Telegram, Slack, Discord, Signal и WhatsApp. Можат да извршуваат алатки и команди.“

Ова, пак, отвора можност напаѓачот да се претставува како оператор пред неговите контакти, да вметнува пораки во тековни разговори, да ги менува одговорите на агентот и да ексфилтрира чувствителни податоци без знаење на жртвата. Уште покритично, напаѓач може да дистрибуира backdoor‑ирана Moltbot „вештина“ преку MoltHub (поранешен ClawdHub) за да изврши supply chain напади и да краде чувствителни податоци.

Компанијата Intruder, во слична анализа, наведува дека забележала широко распространети погрешни конфигурации што доведуваат до изложување на креденцијали, ранливости од типот prompt injection и компромитирани инстанци кај повеќе cloud провајдери.

„Основниот проблем е архитектонски: Clawdbot ја става леснотијата на имплементација пред безбедната конфигурација по дифолт“, изјави Benjamin Marr, безбедносен инженер во Intruder. „Нетехнички корисници можат да креираат инстанци и да интегрираат чувствителни сервиси без никаква безбедносна проверка или валидација. Нема задолжителни firewall барања, нема проверка на креденцијали и нема sandboxing за недоверливи приклучоци.“

На корисниците кои користат Clawdbot со стандардни поставки им се препорачува да ја ревидираат својата конфигурација, да ги поништат сите поврзани сервисни интеграции, да ги прегледаат изложените креденцијали, да имплементираат мрежни контроли и да следат знаци на компромитација.

Ажурирање

1Password, Hudson Rock и Token Security исто така предупредија на потенцијалните опасности од користење на Moltbot, наведувајќи дека неговиот „длабок, директен пристап“ до чувствителни корпоративни системи на неуправувани лични уреди надвор од безбедносниот периметар може да стане „точка со висок ризик“ доколку е погрешно конфигуриран.

Token Security соопшти дека 22% од нивните клиенти имаат вработени кои активно користат Clawdbot во организациите, додавајќи дека недостатокот на sandboxing и користењето plaintext за складирање „мемории“ и креденцијали го прават атрактивна цел за напаѓачи што сакаат да украдат чувствителни корпоративни податоци.

„Ако напаѓач го компромитира истиот уред на кој го извршувате MoltBot, не мора да прави ништо софистицирано“, изјави 1Password. „Современите infostealer‑и ги пребаруваат вообичаените директориуми и ексфилтрираат сè што личи на креденцијали, токени, сесиски логови или developer конфигурации. Ако вашиот агент чува API клучеви, webhook токени, транскрипти и долгорочна меморија во plaintext и на познати локации, infostealer може да го украде сето тоа за неколку секунди.“

Hudson Rock исто така забележа дека „гледа специфични адаптации кај големи malware‑as‑a‑service (MaaS) фамилии“ како RedLine, Lumma и Vidar, кои активно ги таргетираат овие директориумски структури за кражба на информации.

„За infostealer‑ите, овие податоци се уникатни. Не се работи само за кражба на лозинка, туку за кражба на когнитивен контекст“, наведуваат тие. „Заканата не е само ексфилтрација — туку киднапирање на агентот (Agent Hijacking). Ако напаѓач добие write‑пристап (на пример, преку RAT инсталиран заедно со stealer‑от), може да изврши ‘Memory Poisoning’.“

Извори:

  • The Hacker News – Fake Moltbot AI Coding Assistant on VS Code Marketplace Drops Malware The Hacker News